🔎 Cyberveille

Selon GBHackers, un nouvel outil open source nommé KawaiiGPT est apparu sur GitHub, se présentant comme une version « kawaii » et non filtrée d’une IA, et comme un clone gratuit de « WormGPT ».

KawaiiGPT fonctionne comme un wrapper: il ne calcule pas lui‑même mais relaie les réponses de DeepSeek, Gemini et Kimi‑K2. Il s’appuie sur une ingénierie inverse de wrappers d’API (provenant du projet Pollinations) pour accéder à ces modèles sans clés officielles, et peut être utilisé gratuitement sur Linux ou Termux sans inscription.

🔗 Source originale : https://gbhackers.com/kawaiigpt-a-free-wormgpt-clone-powered/

Lors d'un exercice de crise cette année, le système informatique central de la Confédération a connu une défaillance, révèle la NZZ am Sonntag. Celui-ci regroupe toutes les informations pour fournir aux cellules de crise cantonales une vue d'ensemble de la situation dans toute la Suisse. Pendant l'exercice de début novembre, simulant une attaque hybride contre notre pays, les cantons n'ont, à plusieurs reprises, pas pu accéder au système informatique central de la Confédération ou seulement avec un certain retard. Les états-majors cantonaux n'ont donc pu suivre la situation que de manière fragmentaire.

Pour la première fois, des groupes de hackers russes et nord-coréens unissent leurs forces. Des chercheurs ont en effet découvert que les gangs Gamaredon et Lazarus ont mis leurs ressources en commun… et ça n’augure rien de bon.

...

Fin juillet, les chercheurs ont remarqué que les pirates ont utilisé une même adresse IP. Il semble que les deux gangs partagent en ce moment « une infrastructure commune ».

GreyNoise Labs a annoncé « GreyNoise IP Check », un outil gratuit permettant de vérifier si une adresse IP a été vue dans des opérations de scan malveillant, notamment issues de botnets et de réseaux de proxies résidentiels.

...

L’outil affiche trois résultats possibles: 1) Clean (aucune activité malveillante détectée), 2) Malicious/Suspicious(comportement de scan observé, nécessitant une investigation des appareils du réseau), 3) Common Business Service (IP d’un VPN, réseau d’entreprise ou cloud, où le scan est attendu/normal). En cas d’activité, une frise chronologique sur 90 jours est fournie pour aider à identifier un point potentiel d’infection ou une corrélation temporelle (ex. installation d’un client de partage de bande passante avant l’apparition des scans).

De nouvelles recherches révèlent qu’au cours de la période 2023-2025, plus de 237 opérations cyber ont ciblé les infrastructures spatiales. Les satellites et les systèmes de communication spatiaux sont menacés par la cyberguerre, met en garde un nouveau rapport, qui fait état de 237 opérations cyber ayant visé le secteur spatial entre janvier 2023 et juillet 2025, pendant le conflit à Gaza.

L’analyse, publiée par le Center for Security Studies (CSS) de l’ETH Zurich, compile des informations, notamment des publications sur les réseaux sociaux, des articles de presse et des données issues de forums de cybercriminalité, sur des cyberattaques contre le secteur spatial israélien et des agences internationales.

La hausse la plus spectaculaire des cyberattaques contre l’espace s’est produite lors de l’affrontement entre Israël et l’Iran en juin 2025, lorsque 72 opérations ont été recensées en un seul mois. Cela représente près d’un tiers de l’ensemble des incidents identifiés sur la période étudiée, a indiqué l’auteure du rapport, Clémence Poirier.

Source et contexte — Truffle Security Co. publie un billet invité de Luke Marshall détaillant un scan exhaustif d’environ 5,6 millions de dépôts publics GitLab Cloud (initialisé le 10/09/2025) à l’aide de TruffleHog, qui a permis d’identifier 17 430 secrets « live » vérifiés et de récolter plus de 9 000 $ en primes, pour un coût d’infrastructure d’environ 770 $ et une durée d’exécution d’un peu plus de 24 h.

📊 Résultats clés

• Échelle: ~5,6 M de dépôts scannés sur GitLab; comparaison Bitbucket: ~2,6 M.
• Découvertes: 17 430 secrets valides sur GitLab vs 6 212 sur Bitbucket, soit ~35 % de densité de fuites par dépôt en plus côté GitLab.
• Temporalité: plateau des expositions sur Bitbucket depuis 2018, mais « explosion » sur GitLab, probablement corrélée à la montée de l’IA et la prolifération de clés API.
• Ancienneté: des « zombie secrets » toujours valides jusqu’à des commits datés du 16/12/2009.
• Types de secrets: GCP est la catégorie la plus fuitée; environ 1 dépôt sur 1 060 contenait des identifiants GCP valides.
• Localité de plateforme: 406 clés GitLab valides trouvées sur GitLab contre 16 sur Bitbucket (≈25×), illustrant que les secrets d’une plateforme fuient majoritairement sur cette même plateforme.
• Cas marquant: un token Slack attribué à une organisation (confirmé via l’URL d’équipe et page de login Okta) classé P1 et rémunéré 2 100 $.

• Google vous laisse installer des bombes à retardement dans votre navigateur : CRXplorer révèle ce que le géant refuse d'auditer
• Les chasseurs de primes ont trouvé leur eldorado : les extensions Chrome sont devenues le terrain de jeu des hackers pendant que les développeurs dorment
• Vos extensions vous espionnent déjà, mais personne ne vous le dit : cet outil gratuit fait le travail que Google devrait faire

Voici un outil qui fait un carton chez les pros de la cybersécurité. Ça s’appelle CRXplorer et c’est votre compteur Geiger personnel pour les extensions Chrome. En gros, ça décompresse et analyse les fichiers .crx (les extensions Chrome) pour détecter les vulnérabilités, les permissions abusives, et les risques de confidentialité.

Vous lui donnez une extension à scanner, il inspecte le manifest.json, regarde quelles permissions sont demandées, vérifie les scripts inclus, et vous dit si ça pu ou si vous pouvez y aller tranquillou. Et c’est utile car ces dernières années, y’a eu pas mal d’extensions Chrome qui sont régulièrement retirée du store de Chrome parce qu’elles ont été identifiées comme volant des données sensibles.

Si les SSD dominent l'informatique active, ils présentent un risque important pour le stockage d'archives à long terme. Cette analyse approfondie explore la physique des fuites d'électrons dans la mémoire flash NAND, en analysant les normes JEDEC et les contraintes techniques qui font que les SSD hors tension perdent des données au fil du temps, en les comparant à la stabilité des supports magnétiques.

À la suite d’un incident survenu fin octobre aux États-Unis, Airbus a découvert une faille de sécurité sur un logiciel de commande. Le groupe européen s’est lancé dans une vaste entreprise de mise à jour.

Les téléphones mobiles font aujourd'hui partie du quotidien. L'augmentation croissante des usages, aussi bien liés à la vie personnelle que professionnelle, en font une cible de choix pour les attaquants. Comme tout équipement informatique, et bien que de nouvelles mesures de protections soient régulièrement mises en œuvre par les constructeurs, les équipements mobiles sont exposés à des opportunités spécifiques associés à leur usage et à leur fonctionnement. Des vulnérabilités pouvant cibler les réseaux (mobile, Wi-Fi, Bluetooth), le système d’exploitation ou les applications sont ainsi régulièrement exploitées par des attaquants aux capacités et motivations diverses. Parmi ces menaces, l’ANSSI observe notamment des opérations d’espionnage et de surveillance menées par des acteurs étatiques grâce à des capacités développées en interne ou acquises auprès d’entreprises privées spécialisées dans la lutte informatique offensive (LIOP). Ces dernières facilitent l’accès à des technologies sophistiquées, entrainant l’émergence de nouveaux acteurs offensifs, et augmentant ainsi le niveau de menace associé. Au-delà de l’espionnage, les téléphones mobiles sont aussi une cible de choix pour les cybercriminels, qui, en les compromettant, parviennent notamment à détourner de l’argent de leurs victimes. Dans une moindre mesure, les téléphones mobiles sont aussi détournés pour de la surveillance privée ou des opérations de déstabilisation. Ce document a pour objectif de présenter les différents vecteurs techniques exploités par les attaquants pour compromettre des téléphones mobiles, ainsi que dresser une vue d’ensemble sur les menaces pesant sur les utilisateurs en fournissant des exemples concrets d’attaques conduites en France ou à l’étranger. Des recommandations de sécurité à destination des utilisateurs accompagnent cet état de la menace.

Il ne se passe pas une semaine quasiment sans qu’une fuite de données ne soit rendue publique. C’est désormais au tour de la Fédération Française de Cardiologie de prévenir ses adhérents : « À la suite d’une faille, un tiers non autorisé a accédé à notre système et dérobé certaines de vos données personnelles ». Contactée par Next, la Fédération nous confirme l’envoi des messages aux adhérents et le contenu du message.

Des services d’alertes automatisées de la firme québécoise GardaWorld utilisés par plusieurs municipalités canadiennes et américaines pour communiquer avec les citoyens en cas d’urgence ont été suspendus en raison d’une cyberattaque et d’une fuite de données personnelles.

Le gestionnaire de mots de passe KeePassXC est une version open source et multiplateforme de l’application KeePass Password Safe pour Windows. Les moutures se sont faites plus rares, mais elles comportent toujours autant de nouveautés.

...

Pour les personnes qui préfèrent une version éprouvée, KeePassXC 2.7.9 a reçu le 17 novembre une certification CSPN-2025/16 de l'ANSSI, obtenue pour trois ans. La petite application a même été mise en avant dans une publication du 21 novembre sur la sécurité des mots de passe.

Le Conseil et le Parlement européen ont trouvé un accord sur de nouvelles règles à propos de la fraude en ligne et l'utilisation abusive des données. Notamment, les plateformes devront faire face à leurs responsabilités si elles n'ont pas supprimé des contenus frauduleux signalés qui ont atteint des victimes.

Bisbilles entre la France et le Canada, après qu'une juridiction de l'Ontario a ordonné à l'hébergeur OVH d'accéder à des données stockées sur des serveurs en Europe et en Australie. Ce dernier refuse et l'affaire prend une tournure politique.

Les équipes de Cato Networks ont découvert une technique baptisée HashJack qui ajoute un prompt malveillant à la suite d'une URL. Cette méthode piège les navigateurs basés sur l'IA pour mener différentes campagnes, phishing, vol de données, installation de malwares,...

Privatim, la Conférence suisse des préposés à la protection des données, a adopté une résolution critiquant l’usage de solutions internationales de cloud pour les données sensibles des autorités. Cette position est toutefois contestée.

De nos jours, les pirates informatiques qui sondent l’infrastructure d’une organisation ont rarement la chance de trouver un poste de travail sans agent EDR. Ils se concentrent donc sur la compromission des serveurs ou de divers appareils spécialisés connectés au réseau, qui disposent de privilèges d’accès assez étendus, mais manquent de protection EDR et souvent même de fonctions de journalisation. Dans un précédent article, nous avons décrit en détail les types d’appareils de bureau vulnérables. Les attaques du monde réel en 2025 se concentrent sur les appareils réseau (comme les passerelles VPN, les pare-feu et les routeurs), les systèmes de vidéosurveillance et les serveurs eux-mêmes. Il ne faut toutefois pas perdre de vue les imprimantes, comme l’a rappelé Peter Geissler, chercheur indépendant, lors du Security Analyst Summit 2025. Il a décrit une vulnérabilité qu’il avait découverte dans les imprimantes Canon (CVE-2024-12649, CVSS 9.8), qui permet d’exécuter du code malveillant sur ces appareils. Et l’aspect le plus intéressant de cette vulnérabilité est que son exploitation se limite à envoyer un fichier anodin à imprimer.

Police de caractères de type cheval de Troie : une attaque via la vulnérabilité CVE-2024-12649 L’attaque commence par l’envoi d’un fichier XPS à imprimer. Ce format, créé par Microsoft, contient toutes les informations nécessaires à l’impression de documents et constitue une alternative au format PDF. Le format XPS est essentiellement une archive ZIP contenant une description détaillée du document, toutes ses images ainsi que les polices utilisées. Les polices sont généralement stockées dans le format TTF (TrueType Font) très répandu, inventé par Apple. Et c’est précisément la police elle-même, qui n’est généralement pas considérée comme étant dangereuse, qui contient le code malveillant.

La FFF informe que le logiciel utilisé par les clubs pour leur gestion administrative et notamment celle de leurs licenciés a été victime d’un acte de cybermalveillance et d’un vol de données.

Les services de la FFF ont, dès la détection de cet accès non-autorisé par l’usage d’un compte compromis, pris les dispositions nécessaires à la sécurisation du logiciel et des données, notamment en désactivant immédiatement le compte en cause et en réinitialisant tous les mots de passe des comptes utilisateurs.

Une plainte a été déposée et les autorités compétentes ont été informées (ANSSI, CNIL) de cette attaque. Par ailleurs, la FFF adressera une communication aux personnes concernées dont l’e-mail était renseigné dans la base de données.

Cette violation se limite uniquement aux données suivantes : nom, prénom, genre, date et lieu de naissance, nationalité, l’adresse postale, l’adresse mail, le numéro de téléphone ainsi que le numéro de licencié.

Ce jeudi, la plus grande plateforme d'échange d'actifs numériques de Corée du Sud, Upbit, a suspendu les dépôts et les retraits après avoir détecté une activité inhabituelle sur les jetons du réseau Solana.

• Les autorités sud-coréennes envisagent que le groupe Lazarus, lié à la Corée du Nord, soit une source possible du piratage de jeudi sur Upbit, selon Yonhap.
• Upbit a suspendu les transactions après avoir détecté une activité inhabituelle sur les tokens Solana, confirmant une importante compromission de son portefeuille chaud.
• Le piratage a coïncidé avec l'annonce d'une fusion impliquant la société mère d'Upbit, Dunamu, et le géant technologique Naver, alimentant les spéculations sur le calendrier.

Plusieurs jours après qu’elles ont constaté l’incident, les administrations du Royal Borough of Kensington and Chelsea, de l’arrondissement de Westminster et du quartier de Hammersmith et Fulham peinent encore à rendre accessibles l’intégralité de leurs services. A elles seules, elles s’occupent de plus d’un demi-million de Londoniens.

Certes, le volume d'attaques dans les environnements OT/IoT est largement inférieur à celui lié à l'IT, ces réseaux OT n'étant pas aussi nombreux, mais ils sont bien plus vulnérables. En effet, ils ne sont pas autant sécurisés, qui plus est, les équipements qui y sont connectés ne le sont pas non plus. Dans ces conditions, ils deviennent une cible de choix pour les cybercriminels qui profitent des failles pour saboter ou stopper un outil de production et même bloquer les réseaux d'entreprises étant donné le manque d'étanchéité entre les environnements. Les différentes autorités mondiales s'alarment de cette situation à l'heure où les relations entre certains pays se dégradent. Dans ce dossier, les spécialistes interviewés nous donnent à la fois leurs points de vue mais aussi leurs solutions et des bonnes pratiques à prendre en compte. (Crédit photo S.L.)

Le CERT-FR a connaissance d'une vague de compromission de paquets NPM ayant débuté le 23 novembre 2025. En date du 26 novembre 2025, plus de 700 paquets ont été affectés. Ce nombre important est dû à l'auto-réplication du logiciel malveillant. Seules quelques versions de ces paquets, les plus récentes, ont été compromises. Plusieurs d'entre elles ont été supprimées par les développeurs par la suite.

...

Recommandations

En raison de l'évolution de la campagne, le CERT-FR recommande de :

• chercher les différents indicateurs de compromissions présentés dans les billets de blogue et en particulier le fichier bun_environment.js ;
• vérifier l'ensemble des paquets NPM installés et leurs versions et les comparer aux versions indiquées comme compromises.

Si cela est possible :

• geler temporairement la mise à jour des paquets NPM et utiliser des versions connues comme légitimes ;
• effectuer un redémarrage des machines susceptibles d'utiliser les paquets.

En cas de suspicion de compromission :

• désinstaller l'ensemble des paquets concernés ;
• vérifier l'intégrité des plateformes d'intégration continue et des potentiels paquets NPM maintenus ;
• effectuer une rotation de l'ensemble des secrets présents sur la machine. De plus les fiches réflexes relatives à la compromission système peuvent être consultées.

KrebsOnSecurity dévoile l’identité de « Rey », administrateur de Scattered LAPSUS$ Hunters, en retraçant ses erreurs d’OPSEC et en détaillant les campagnes de vishing Salesforce, le RaaS ShinySp1d3r et le recrutement d’initiés.

🔗 Source originale : https://krebsonsecurity.com/2025/11/meet-rey-the-admin-of-scattered-lapsus-hunters/